Nitro Ransomware

いくつかのランサムウェアファミリは、通信にDiscord Webhookを使用し、侵害されたシステムからデータを盗み出すことがすでに観察されています。ただし、Nitro Ransomwareの背後にいるサイバー犯罪者は、人気のある暗号通貨の1つで支払われる通常の身代金の代わりに、DiscordNitroギフトカードでの支払いを被害者に要求するため、さらに一歩進んでいます。

Discordは、コンピューターユーザーの間で最も人気のあるソーシャルプラットフォームの1つです。 PCプレーヤー向けのVoIP（Voice over IP）サービスとして始まったこのアプリケーションは、その後、ユーザーがメッセージの送信、音声およびビデオコールの実行、ファイルの送信、プライベートチャットまたはサーバーと呼ばれるコミュニティ。無料利用枠に加えて、Discordは「Nitro」アップグレードの有料サブスクリプションを9.99ドルで提供しています。その価格で、ユーザーはアップロードされたファイル、HDビデオストリーミング、追加の絵文字、およびサーバーを宣伝するオプションの制限が拡張されます。 NitroRansomwareオペレーターは、これらのNitroサブスクリプションに正確に焦点を合わせています。

静的復号化キーと不和ギフトコード

Nitro Ransomwareは、無料のNitroギフトコードを生成できると思われるソフトウェアツールを装って配布されています。違法な手段でそのようなコードを取得したいユーザーは、代わりにマルウェアの脅威に感染しています。侵入先のコンピュータ上のファイルは、暗号化ルーチンによってロックされます。影響を受ける各ファイルには、新しい拡張子として名前に「.givemenitro」が追加されます。暗号化プロセスが完了すると、Nitro Ransomwareは、変更されたDiscordロゴの画像でシステムのデフォルトの壁紙を変更し、ポップアップウィンドウに身代金メモを表示します。

指示によると、ユーザーはファイルを復号化するために適切なフィールドに有効なDiscordNitroギフトコードを提供するために3時間の猶予があります。期限が切れると、ハッカーは暗号化されたデータがすべて削除され、永久に失われると脅迫します。ただし、基礎となるコードの分析により、タイマーが切れてもファイルが削除されないことが明らかになったため、これは単なる空の脅威です。さらに、Nitro Ransomwareは、埋め込まれた静的復号化キーを使用して、適切なギフトコードが提供されるたびにユーザーファイルを解放します。静的キーを使用すると、潜在的な復号化機能が作成される可能性があるため、ユーザーはハッカーとまったく関わりを持たずにファイルを無料で入手できます。

ニトロランサムウェアは、脅迫の機能を拡大してきました

Nitro Ransomwareの悪質な機能は、ファイルロックを超えています。この脅威はバックドアとしても機能し、ハッカーが侵入先のシステムで任意のコマンドをリモートで実行できるようにします。その後、すべての結果をWebhookを介して攻撃者のDiscordチャネルに送信できます。 Nitro Ransomwareは、被害者からDiscordトークンを収集することもできます。このトークンを使用して、関連するDiscordサーバーを侵害することができます。

暗号化されたファイルを回復しようとすることとは別に、Nitro Ransomwareの被害者は、Discordパスワードをできるだけ早く変更することを強くお勧めします。潜在的なフォローアップ攻撃を阻止するためのもう1つの予防策は、感染したシステムをスキャンして、配信された可能性のある追加のマルウェアペイロードを探すことです。最後に、攻撃者によって作成された可能性のある新しいWindowsアカウントを確認し、すぐに削除します。